Mon propre système est, je pense, entièrement "à jour" en ce qui concerne les mises à jour de sécurité d'Apple via l'App Store, mais la version d'OpenSSL installée sur mon système est la 0.9.8zg, une version qui était courante au cours de l'année dernière, mais qui a perdu tout support de sécurité depuis le 31 décembre 2015.
https://www.openssl.org/news/secadv/20160128.txt
J'ai lu ailleurs que, lorsqu'on utilise un VPN et que ce client VPN est fourni avec une version différente et plus récente d'OpenSSL (disons, la version 1.0.1r), la version de ce client VPN prend le dessus - c'est-à-dire que la version la plus récente sert d'intermédiaire pour la négociation avec une connexion réseau dans un navigateur.
Mes deux questions, qui sont liées, sont les suivantes :
(1) est-ce exact ? Si c'est le cas, il semblerait que l'exécution d'un VPN avec une version actuelle d'OpenSSL protégerait nominalement mieux l'utilisateur qu'une version obsolète installée sur le système d'exploitation, correct ?
(2) Si un utilisateur n'a pas de VPN, est-ce que l'utilisateur se fie à la version vulnérable d'OpenSSL dans le système d'exploitation uniquement pour cette couche de sécurité ? Ou bien les versions ultérieures d'OpenSSL sont-elles en quelque sorte "intégrées" dans des applications spécifiques (navigateur, Skype, iTunes, etc.), tout comme elles sont "intégrées" dans un client VPN ?
